為什麼我無法搜尋 CloudTrail 事件日誌來尋找建立 EBS 磁碟區的使用者名稱？

簡短描述

對於 CloudTrail 事件日誌，CreateVolume 欄位不適用於您在 Amazon Elastic Compute Cloud (Amazon EC2) 啟動期間建立的 Amazon EBS 磁碟區。

若要尋找已建立 EBS 磁碟區的使用者名稱，請先確定 EBS 磁碟區的建立方式。然後完成以下其中一個任務：

• 對於手動建立的 EBS 磁碟區，請使用磁碟區 ID 來檢視 CreateVolume 的 CloudTrail 事件日誌。
• 對於在 Amazon EC2 啟動期間建立的 EBS 磁碟區，請使用 EC2 執行個體 ID 檢視 RunInstances 的 CloudTrail 事件日誌。

如需詳細資訊，請參閱使用主控台檢視最近的管理事件。

**注意：**此解決方案僅適用於啟動 AWS Config 和 CloudTrail 後建立的 EBS 磁碟區。

解決方法

確定 EBS 磁碟區的建立方式

請完成下列步驟：

1. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
2. 在導覽窗格的 Elastic Block Store 中，選擇 Volumes (磁碟區)。
3. 複製 EBS 磁碟區的磁碟區 ID。
4. 開啟 AWS Config console (AWS Config 主控台)，然後選擇 Resources (資源)。
5. 在 Resource type (資源類型) 下，選擇 AWS EC2 Volume (AWS EC2 磁碟區)。
6. 在 Resource identifier (資源識別碼) 下，輸入磁碟區 ID。
7. 選取 Resource Timeline (資源時間表)。
8. 在 Events (事件) 中，展開 Configuration Change (組態變更)。然後，選擇 View full record (檢視完整記錄)。
9. 展開 Relationships (關係)，然後複製 EC2 執行個體 ID。
   **注意：**如果您沒有看到 EC2 執行個體 ID，則表示您是手動建立 EBS 磁碟區。

尋找建立 EBS 磁碟區的使用者名稱

手動建立的 EBS 磁碟區

請完成下列步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 在 Filter (篩選條件) 下，選擇 Resource name (資源名稱)。
4. 在 Enter resource name (輸入資源名稱) 中，輸入 EBS 磁碟區的磁碟區 ID，然後在裝置上按 Enter 鍵。
5. 選擇 Event (事件) 以展開並顯示完整的事件記錄。請記下 ** Amazon Resource Name (ARN)** 和 userName，以識別建立 EBS 磁碟區的使用者。

Amazon EC2 啟動期間所建立的 EBS 磁碟區

請完成下列步驟：

1. 開啟 CloudTrail 主控台。
2. 在導覽窗格中，選擇 Event history (事件歷史記錄)。
3. 在 Filter (篩選條件) 下，選擇 Resource name (資源名稱)。
4. 在 Enter resource name (輸入資源名稱) 下，輸入 EC2 執行個體 ID。然後，在您的裝置上按 Enter 鍵。
5. 選擇 Event (事件) 以展開並顯示完整的事件記錄。請記下 ARN 和 userName，以識別啟動 EC2 執行個體的使用者。

**注意：**如果 DeleteonTermination 屬性設定為 False，則無法刪除 EBS 磁碟區。如需詳細資訊，請參閱執行個體終止時保留資料。